중국 해커 조직이 국내 민간 학술단체와 기업들을 웹변조(디페이스)하는 방식으로 공격했던 것보다 훨씬 더 대담해지고 활동 반경도 넓히면서 국내 기업·기관들의 사이버 보안에 비상이 걸렸다. 규모가 작은 학술단체의 경우 홈페이지가 변조되거나 다운되는 정도에 그쳤으나 1만 명이 넘는 개인정보가 유출되면서 명의 도용과 같은 2차 피해는 물론 첨단 산업 기술과 정부 기밀까지 탈취당할 수 있다는 우려가 나온다. 범정부 차원에서 사이버 보안 대책을 마련하고 적극적인 대응에 나서야 한다는 목소리가 높아지고 있다.
◇주요 기관 직원 주민번호까지 노출=20일 보안 업계에 따르면 중국 해커 조직 ‘샤오치잉’은 한국인정지원센터(KAB)에 대한 해킹을 통해 회원사와 인증을 의뢰한 기업·기관의 품질관리팀·DNA화학분석과·항공엔진실·전장시험팀 외에도 사이버테러기술분석팀 등 국방·보안 부서 직원들의 주민등록번호까지 유출한 것으로 나타났다.
1995년 설립된 KAB는 국내 유일의 경영 시스템 민간 인정기구로 현재 국내 78개 인증기관을 인정하고 사후 관리하고 있다. 최근 IBK기업은행과 국제표준기구(ISO) 인증정보 제공 관련 업무협약을 체결하는 등 기업 경쟁력 강화를 위한 왕성한 활동을 하고 있다. 약 10만 개 기업의 19만여 ISO 인증정보 빅데이터를 보유 중이다.
KAB 관계자는 현재 회원들의 주민등록번호를 받고 있지 않아 해당 정보는 노출되지 않았다고 했지만 서울경제 취재 결과 주민등록번호까지 유출됐다. 과거 가입한 회원들의 주민등록번호를 받은 것으로 추정된다. 특히 암호화가 돼 있지 않아 2차 피해로도 쉽게 이어질 수 있는 상황이다. 업계 관계자는 “유출된 기업들의 품질 관리 담당자들의 정보가 유출돼 기업들의 제품 정보까지 털릴 경우 기업 기술력 유출 피해도 우려된다”고 말했다.
◇해커 공격은 느는데 보안 인식과 투자는 부족=샤오치잉의 공격 수법은 고난도가 아니라는 의견이 많지만 국내 홈페이지가 뚫렸던 것은 그만큼 평소 보안 투자가 소홀했기 때문이라는 분석이 나온다. 실제로 지난 설 연휴 샤오치잉에 해킹당한 학술기관의 경우 12곳 모두가 같은 웹호스팅 업체의 서비스를 이용한 것으로 드러났다. 일주일 전 해킹당한 편의점 프랜차이즈 CU의 경우에도 특정 일부 페이지만 해킹당했음에도 메인 홈페이지를 비롯한 전체 페이지를 차단하기도 했다.
아마존 등 규모가 큰 외국계 웹호스팅 업체와 달리 국내 업체는 영세한 곳이 많다. 웹호스팅을 자체 구축하면 서버 운영이 필요하고 상시 근무할 수 있는 보안 인력도 채용해야 해 인건비 부담이 크다. 영세한 기업·기관의 경우 웹호스팅 서비스가 효율적이다. 한 보안 전문가는 “이들 기관은 홈페이지를 만들어 운영할 능력이 부족하다”며 “웹호스팅 업체에서 제공하는 보안 서비스 수준에 맞춰야 해 취약했을 것”이라고 지적했다.
전문가들은 개인정보를 따로 분리하지 않는 허술한 홈페이지 시스템을 지적한다. 염흥열 순천향대 정보보안학과 교수는 “웹사이트 내에 데이터베이스(DB)와 연계해 개인정보에 접근할 수 있는 권한이 있거나 웹사이트에서 개인정보를 게시판 등에 저장하다가 사용자에게 알게 모르게 엑셀로 통지하는 경우도 있다”고 말했다.
◇해킹 후 3개월간 방치 정황…개인정보 암호화는 기본=텔레그램에 유포된 KAB 유출 자료에는 날짜가 올 2월에 해당하는 것도 있어 최근에도 샤오치잉이 해킹을 계속해 데이터를 축적한 것으로 추정된다. 보안 업계에서는 KAB가 지난해 개인정보가 노출됐는데도 3개월간 대처가 부족했던 것으로 보고 있다. 한 보안 전문가는 “지난해 11월 샤오치잉의 전신인 ‘텅 스네이크’가 오픈소스(무상 공개 소프트웨어) 커뮤니티 ‘깃허브’에 KAB 직원들의 정보 수십 건을 공개했었다”며 “개인정보 유출 이후에도 3개월간 방치된 셈”이라고 지적했다. 그러면서 “관련 정보를 이용해 그간 후속 해킹이 이미 많이 일어났을 수도 있다”며 “이처럼 다수의 기관들은 해킹 사실을 파악하지 못해 대응하지 못하는 경우가 허다하다”고 지적했다.
전문가들은 해킹을 원천적으로 막기 어려운 만큼 정보를 암호화해 피해를 최소화하는 것이 중요하다고 지적한다. 문종현 이스트시큐리티 이사는 “사이버 보안의 기본은 개인정보 암호화”라면서 “정부나 수사기관이 적극적으로 나서 법적 책임을 끝까지 묻는 한편 범정부 차원에서 정보보호와 관련한 대책과 투자 확대가 이뤄져야 한다”고 말했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
dorimi@sedaily.com
